TrustCloud eleva su nivel de seguridad con la certificación ETSI 119 461

Trustcloud ha obtenido la certificación ETSI 119 461, que establece las mejores prácticas de seguridad para la comprobación de identidad en servicios de confianza, especialmente en firma electrónica cualificada.

D

e creación relativamente reciente, ya que fue publicada por el Instituto Europeo de Normas de Telecomunicación (ETSI, European Telecommunications Standards Institute) en 2021, la ETSI 119 461 incrementa los niveles de seguridad mínimos en el contexto de la verificación de identidad. De este modo, se ajusta a los requisitos más actuales de eIDAS (electronic identification, authentication and trust services, identificación electrónica, autenticación y servicios de confianza). 

Los procesos KYC más exigentes deben apoyarse en soluciones conformes con ETSI, de ahí su importancia. 

Fortalecer las transacciones digitales 

El protocolo tiene como objetivo primordial asegurar que la validación de identidad se lleve a cabo con el mismo nivel de seguridad que en los procesos de verificación en persona. Al establecer una batería de rigurosos requisitos, ETSI busca cumplir con las expectativas de la comunidad internacional para asegurar y fortalecer la confianza en las transacciones digitales. El marco normativo es una herramienta muy útil para que los servicios de verificación de identidad operen con todas las garantías en Europa. 

El estándar recopila los requisitos de mejores prácticas sobre cómo llevar a cabo las tareas de recolección de atributos y evidencias electrónicas, la verificación de estos y la vinculación de las acciones realizadas con la identidad real del solicitante. ETSI 119 461 también fija cómo se han de construir los procesos de identificación mediante la combinación de diferentes medios para lograr el resultado correcto. 

Identificación: las cinco áreas de actuación 

Dentro del estándar de ETSI, se desglosa el proceso de verificación de identidad en cinco tareas individuales, que se abordan de manera separada y detallada: 

1. Iniciación: El proceso comienza con la activación de la verificación de identidad, estableciendo el contexto y los parámetros para la validación. 
2. Recopilación de pruebas de identificación: Se lleva a cabo la obtención de las pruebas que respaldan la identidad del solicitante. Esto puede incluir presentar una documentación oficial en un formato válido.
3. Validación de las pruebas de identificación: Aquí, se realizan las comprobaciones necesarias para determinar la autenticidad y validez de las pruebas de identificación presentadas.  
4. Coincidencia con los datos ingresados por el solicitante: Se verifica la coherencia entre la información proporcionada por el solicitante durante el proceso y los datos encontrados en las pruebas de identificación. Cualquier discrepancia o inconsistencia puede ser un indicio de falsificación o intento de fraude. 
5. Mostrar el resultado de la verificación. Se presenta la conclusión positiva o negativa sobre la identidad del interesado en base a las credenciales presentadas y analizadas. 

Estos cinco pasos, delineados en el estándar ETSI, establecen un proceso claro y estructurado para la verificación de identidad, asegurando así que cada aspecto crítico de la validación se aborde minuciosamente. 

El proceso de verificación de identidad puede llevarse a cabo utilizando diferentes tipos de documentos de identidad, como tarjetas emitidas por el gobierno, imágenes digitales de los mismos o eIDs (identificaciones electrónicas). ETSI establece requisitos específicos para cada tipo y medio de identificación. Además, resalta que la verificación mediante NFC (near field communication o comunicación de campo cercano) es más 

segura en comparación con otras soluciones para confirmar la autenticidad de los documentos. 

El estándar de ETSI 119 461 señala que una única imagen del documento de identidad ya no proporciona pruebas suficientes. En su lugar, sugiere que se ha de registrar un video breve que registre los diferentes detalles del documento, lo cual permite una inspección y validación más exhaustivas. Es evidente que la verificación basada en una única fotografía de identificación todavía es una práctica estándar en la industria, lo que subraya que los requisitos de ETSI aún deben ser cumplidos y adoptados. 

Este relevante marco se enfoca en la autenticación a distancia llevada a cabo por proveedores de servicios de confianza. Sirve, por tanto, para auditar a estos servicios a través de la metodología utilizada en las comprobaciones de identidad remota. 

Abordar los riesgos y luchar contra el fraude 

Los requisitos de seguridad detallados en la norma ETSI 119 461 reflejan una visión integral de los desafíos actuales en la verificación de identidad en línea. Este estándar se ha diseñado para abordar de manera proactiva las amenazas más comunes que pueden socavar la integridad de los procesos de autenticación. La primera categoría de riesgos, relacionada con las evidencias falsificadas, resalta la importancia de salvaguardar los sistemas contra intentos de manipulación de documentos y pruebas de identidad manipuladas o falsas, que podrían ser utilizadas para obtener acceso no autorizado o para cometer fraudes.  

La segunda categoría, que se concentra en la suplantación de identidad, subraya la necesidad de prevenir el uso indebido de pruebas legítimas de identificación, pero pertenecientes a terceros, lo que podría llevar a transacciones fraudulentas o usurpación de cuentas. 

No obstante, la norma ETSI 119 461 no se limita únicamente a los riesgos tradicionales. También aborda los riesgos operativos que podrían surgir en el proceso de verificación de identidad, como fallos en la comunicación, problemas de sincronización o interrupciones inesperadas. Además, reconoce los riesgos de ingeniería social, que abarcan tácticas de manipulación psicológica utilizadas por atacantes para engañar a los usuarios y obtener información sensible. 

Esta amplia gama de riesgos considerados en la norma muestra cómo ETSI 119 461 es una respuesta anticipada a las amenazas en constante evolución en el ámbito de la verificación de identidad.  

Al integrar estos requisitos en sus procesos y sistemas, TrustCloud demuestra un compromiso total con la seguridad de sus usuarios y establece un estándar ejemplar en la industria para mantener la integridad y confiabilidad de sus servicios de verificación de identidad.